Ir al contenido

Glosario empresarial

Delegado de Protección de Datos (DPO)

El Delegado de Protección de Datos (DPO, Data Protection Officer) es la figura responsable de supervisar el cumplimiento del RGPD dentro de una organización, actuar como punto de contacto con la autoridad de control (la AEPD en España) y asesorar a la dirección y al personal sobre sus obligaciones en materia de protección de datos.

Digital

Qué es el DPO

El Delegado de Protección de Datos (DPO, del inglés Data Protection Officer) es una figura creada por el Reglamento General de Protección de Datos (RGPD) en su artículo 37. Su función principal es velar internamente por el cumplimiento de la normativa de protección de datos, asesorar a la organización y ser el interlocutor con la autoridad de control.

El DPO no es el responsable del tratamiento ni el que toma las decisiones sobre cómo y para qué se tratan los datos: esa responsabilidad sigue recayendo en la organización. El DPO es el supervisor independiente que verifica que las decisiones de la empresa se toman con respeto a la normativa.

Cuándo es obligatoria su designación

El artículo 37 del RGPD impone la designación obligatoria de un DPO en tres supuestos:

  1. Organismos o autoridades públicas, con independencia del tipo de datos que traten
  2. Organizaciones cuya actividad principal consiste en el seguimiento sistemático a gran escala de personas (empresas de publicidad comportamental, operadores de telecomunicaciones, compañías de seguros basadas en telemática…)
  3. Organizaciones cuya actividad principal consiste en el tratamiento a gran escala de categorías especiales de datos (datos de salud, biométricos, genéticos, ideología, religión, afiliación sindical, vida u orientación sexual) o datos relativos a condenas e infracciones penales

En España, la Ley Orgánica 3/2018 (LOPDGDD) amplía los supuestos de designación obligatoria para entidades específicas: colegios profesionales, centros sanitarios, entidades aseguradoras, entidades financieras, operadores de servicios de comunicaciones electrónicas, distribuidores o comercializadores de energía eléctrica o gas natural, empresas de seguridad privada, y gestores de infraestructuras críticas, entre otros.

Aunque la designación no sea obligatoria, el RGPD permite —y en muchos casos es recomendable— designar un DPO de forma voluntaria.

Funciones del DPO

Las funciones del DPO establecidas en el artículo 39 del RGPD son:

  • Informar y asesorar al responsable, al encargado y a los empleados sobre sus obligaciones en materia de protección de datos
  • Supervisar el cumplimiento del RGPD y de otras disposiciones de protección de datos, así como las políticas internas, incluida la asignación de responsabilidades, la concienciación y la formación
  • Asesorar en relación con las evaluaciones de impacto (EIPD) y supervisar su realización
  • Cooperar con la autoridad de control (la AEPD) y actuar como punto de contacto para cuestiones relacionadas con el tratamiento de datos
  • Atender consultas de los interesados sobre el ejercicio de sus derechos

Independencia: una garantía esencial

El RGPD garantiza la independencia del DPO de forma expresa:

  • No puede recibir instrucciones sobre cómo ejercer sus funciones
  • No puede ser destituido ni sancionado por el ejercicio de sus funciones
  • Reporta directamente al nivel más alto de la dirección
  • No debe incurrir en conflictos de interés con otras funciones que pudiera desempeñar en la organización

Esta independencia es fundamental: el DPO no puede ser al mismo tiempo el responsable de sistemas de información que él mismo debe supervisar, ni el responsable jurídico que decide sobre los tratamientos que él audita.

DPO externo: la solución más habitual para pymes

El RGPD permite que el DPO sea un empleado interno o un profesional o empresa externos. Para la mayoría de las pymes y organizaciones medianas, el DPO externo (también llamado DPO as a Service) es la opción más eficiente: permite acceder a la experiencia de un equipo especializado, con dedicación parcial ajustada a las necesidades reales, a un coste significativamente inferior al de un DPO interno a tiempo completo.

El DPO externo debe estar igualmente disponible, conocer en profundidad la organización y sus tratamientos, y mantener la misma independencia que un DPO interno.

Registro ante la AEPD

El responsable del tratamiento debe publicar los datos de contacto del DPO y comunicarlos a la Agencia Española de Protección de Datos (AEPD). No es necesario notificar el nombramiento como trámite formal, pero la AEPD mantiene un registro voluntario de DPO que aporta visibilidad y transparencia.

Preguntas frecuentes

¿Cuándo es obligatorio designar un DPO en España?
Conforme al artículo 37 del RGPD, el DPO es obligatorio para autoridades y organismos públicos, para organizaciones cuya actividad principal sea el seguimiento sistemático a gran escala de personas, y para las que traten a gran escala categorías especiales de datos. La LOPDGDD española (artículo 34) amplía significativamente estos supuestos, incluyendo entidades de crédito, aseguradoras, operadores energéticos y de telecomunicaciones, empresas de seguridad privada y centros educativos, entre otros.
¿Puede una empresa española designar un DPO externo?
Sí. El artículo 37.6 del RGPD permite expresamente el modelo de DPO externo (DPO as a Service), en el que un proveedor externo actúa como DPO en virtud de un contrato de servicios formal. El DPO externo puede atender a varias organizaciones simultáneamente (sin conflictos de interés), debe inscribirse ante la AEPD en las mismas condiciones que un DPO interno, y debe ser genuinamente accesible para el personal y los interesados.
¿Cuál es el requisito de independencia del DPO bajo el RGPD en España?
El DPO debe ser funcionalmente independiente, reportar directamente al nivel más alto de dirección y no recibir instrucciones sobre cómo desempeñar sus funciones de protección de datos. No puede ser despedido ni sancionado por ejercer su función. La AEPD ha investigado casos en que se destituyó a DPOs tras emitir recomendaciones con las que la organización no estaba de acuerdo, tratando dichos despidos como infracción del RGPD.
¿Cuáles son las sanciones por no designar un DPO obligatorio en España?
La falta de designación de un DPO obligatorio constituye en sí misma una infracción del artículo 37 del RGPD, con multas de hasta 10 millones de euros o el 2% de la facturación global anual. La AEPD ha sancionado específicamente a organizaciones por este incumplimiento. Además del riesgo de multa, operar sin un DPO obligatorio deja a la organización sin supervisión interna estructurada del cumplimiento normativo.
¿Qué debe hacer una empresa española tras designar un DPO?
Tras la designación, la empresa debe publicar los datos de contacto del DPO en todos los avisos de privacidad e informarlos a la AEPD. El DPO debe ser implicado en todos los asuntos de protección de datos: EIPDs, gestión de brechas de seguridad y atención a solicitudes de ejercicio de derechos. Los datos del DPO deben mantenerse actualizados ante la AEPD cuando se produzca cualquier cambio en la designación.

Servicio relacionado

Legal

Descubra nuestros servicios en esta área

Sectores relacionados

Tecnología y Startups Investigación y Desarrollo

Términos relacionados

LOPD / RGPD (protección de datos) Evaluación de Impacto en Protección de Datos (EIPD / DPIA) protección datos Privacidad desde el Diseño (Privacy by Design) Cláusulas Contractuales Tipo (SCCs)

Artículos relacionados

mar 2025

Sector salud: privacidad e IA en 2025

may 2025

Whitepaper: Protección de datos en la era del AI Act

nov 2024

Protección de datos y AI Act: puntos de intersección

ene 2024

Informe Anual Legal 2023: Ley Whistleblower, Ley de Vivienda y preparación para el AI Act

Volver al glosario

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita
Llamar Contacto